L’évolution des niveaux d’intégrité de sécurité (SILs)
Derek Jones, Safety Business Manager, Rockwell Automation, discusses PLs and SILs, and sheds some light on how they differ and, more importantly, how they agree.
Les normes définissant les niveaux de performance (PL) et les niveaux d’intégrité de sécurité (SIL) s’appliquent toutes deux aux systèmes de commande électriques relatifs à la sécurité. Elles arrivent aux mêmes conclusions, ou à des conclusions similaires, bien que leurs approches soient différentes. Cela donne aux utilisateurs la possibilité de choisir celle qui est la mieux adaptée à leur application. Les deux normes produisent des niveaux d’exigence comparables en matière de performance ou d’intégrité de sécurité, tout en apportant des différences selon leurs publics cibles.
Les niveaux de performance (PL) sont liés aux catégories de systèmes de commande de sécurité, apparues dans les années 1990 en tant que chapitre de la norme européenne EN 954-1 qui était à la base de la Directive Européenne sur les machines. Il fut décidé qu’il devait y avoir une norme pour la conception des composants relatifs à la sécurité dans les systèmes de commande. La norme ainsi créée a introduit plusieurs catégories utilisées pour définir la structure d’un circuit relatif à la sécurité.
Le système des niveaux d’intégrité de sécurité (SIL) a été introduit en tant qu’alternative aux niveaux de performance (PL) lorsqu’il est devenu évident qu’une nouvelle norme était nécessaire pour couvrir tous les aspects des systèmes de commande moderne. |
Reconnaissant que de multiples sources de panne peuvent exister dans une machine, ou dans son système de commande de sécurité, plusieurs catégories ont été créées, baptisées B, 1, 2, 3 et 4, pour classifier les composants de ce système relatifs à la sécurité, leur résistance aux pannes et leur comportement en conditions de panne.
La catégorie B définit que des composants de bonne qualité ont été utilisés et qu’ils ont tous été fabriqués et sont utilisés selon des standards reconnus. Mais la classification dans cette catégorie est en fait une auto-certification. Les chiffres suivants constituent le coeur du système des catégories et indiquent le degré d’effectivité du dispositif de sécurité. La première, la catégorie 1, est la plus simple. Elle indique que l’équipement mis en oeuvre est peu complexe et de qualité correcte et qu’il est utilisé selon des procédures saines. Mais il n’y a pas de diagnostic.
La catégorie 2 est essentiellement similaire à la catégorie 1, mais des procédures et des routines doivent être introduites pour contrôler les éléments du système. Ceci peut impliquer une simple vérification au démarrage pour s’assurer que tout fonctionne et est configuré correctement. Une vérification au démarrage est le strict minimum car, dans certains cas, l’évaluation des risques peut imposer des vérifications périodiques des équipements à l’intérieur du circuit de sécurité.
La catégorie 3 place la barre encore plus haut. Elle stipule que la fonction de sécurité ne doit pas être défaillante lorsqu’une panne unique affecte le système de sécurité. Ceci s’obtient principalement par la redondance des composants ou par la technique du double canal qui garantissent que l’intégrité du réseau ne sera pas mise en défaut par l’apparition d’une panne unique. Elle stipule également que « lorsque cela est possible, la panne doit être détectée ».
La catégorie 4 élargit la catégorie 3 en demandant à l’utilisateur de prendre potentiellement en compte le risque d’une accumulation de pannes.
 | ||
La classification SIL conserve nombre de principes du système des catégories mais ajoute un niveau de détail et de définition mieux adapté aux architectures de commande et de sécurité modernes. | ||
Cependant, il est vite devenu évident qu’une nouvelle norme était nécessaire pour gérer tous les aspects des systèmes de commande modernes. Le résultat final a été la norme CEI 61508:1999, « Sécurité fonctionnelle des systèmes électriques/ électroniques/électroniques programmables relatifs à la sécurité ». Celle-ci a été suivie en 2005 par la norme CEI/EN 62061 « Sécurité des machines – Sécurité fonctionnelle des systèmes de sécurité électronique électriques/électroniques/ électroniques programmables relatifs à la sécurité ». Cette norme porte sur la conception de systèmes mécaniques complexes et, comme la norme CEI 61508, elle introduit le concept de niveaux d’intégrité de sécurité ou SIL – une autre façon de classifier les performances du système.
La classification SIL conserve nombre des principes du système des catégories mais, point important, elle ajoute un niveau de détail et de définition mieux adapté aux architectures de commande et de sécurité modernes. Cette classification est utilisée pour définir la sécurité fonctionnelle en quantifiant la probabilité de défaillance d’un dispositif dans l’exercice de sa fonction de sécurité. Trois niveaux existent pour les machines, SIL3 étant le niveau « le plus sûr » et SIL1 le moins sûr. En liaison avec les « évaluations d’environnement », la classification SIL utilise également une combinaison de facteurs techniques pour déterminer le niveau ou la classification, notamment la probabilité horaire de défaillance dangereuse sur sollicitation (PFHD) et les fonctions de sécurité nécessaires pour un procédé.
« Des systèmes de gestion appropriés doivent être mis en place afin de s’assurer que les personnes qualifiées ayant le niveau d’expertise requis sont affectées à un travail donné. » |
C’est l’impact potentiel produit en arrière-plan qui distingue les niveaux SIL. En ce qui concerne la sécurité fonctionnelle, des systèmes de gestion appropriés doivent être mis en place pour s’assurer que des personnes qualifiées ayant le niveau d’expertise requis sont affectées à un travail donné.
Les spécifications de sécurité requises doivent également être prises en compte. Elles sont utilisées pour déterminer exactement quelles exigences de sécurité doivent être remplies. Ceci concerne à la fois les composants et les systèmes en fonction de leur conception, de leur validation et de leur assignation tout au long de la durée de vie du projet. Sont également prises en considération toutes les influences environnementales et autres facteurs susceptibles d’affecter le fonctionnement optimal du système.
La touche finale est donnée par la façon dont les systèmes et sous-systèmes sont pris en compte, par exemple dans la normes CEI 61508 qui traite des sous-systèmes complexes tels que les contrôleurs logiques programmables (PLC) de sécurité. La première sous-rubrique couvre les mesures destinées à éviter la défaillance systématique et les mesures en découlant pour la commande d’un sous-système complexe au cas où une défaillance se produirait au niveau du système principal. La deuxième examine la fiabilité du système, en utilisant la probabilité horaire de défaillance dangereuse sur sollicitation (PFHD) comme mesure.
La dernière sous-rubrique traite des contraintes architecturales. Un exemple en est fourni par la combinaison des capacités de tolérance aux pannes à l’intérieur d’un sous-système et par l’équilibrage de ces capacités en fonction des diagnostics réalisés ; les diagnostics donnant les résultats les plus élevés étant considérés comme les plus significatifs et ceux à la tolérance la plus forte.
De nombreux autres facteurs participent à la détermination des niveaux SIL, comme la méthode de conception formelle des logiciels et les techniques de validation et de modification. Ils mettent un peu plus en lumière les grandes différences existant entre le système des catégories et la classification SIL. D’une manière générale, que les niveaux de performance, les niveaux d’intégrité de sécurité (SIL) ou une combinaison des deux soient utilisés, le choix devra se baser sur la complexité du système qui donne l’indication de la méthode à adopter.
Pour de plus amples informations, contactez-nous par courrier électronique à l’adresse : info_at@ra.rockwell.com , en spécifiant l’objet : SIL.
Imprimer cette page
Nos bureaux dans le monde Contactez-nous Plan du Site Remarque Importante